Dalış Özeti:
- Ivanti, Ivanti Connect Secure ve Ivanti Policy Secure’daki iki sıfır gün güvenlik açığını azaltmak için tasarlanan yamanın bu haftaya kadar erteleneceğini doğruladı. Cuma günü yayınlanan güncellenmiş blog yazısı.
- Kimlik doğrulama-atlama ve komut-ekleme güvenlik açıkları Aralık ayının başından bu yana aktif olarak kullanıldı ve binlerce kuruluşu etkiledi. Siber Güvenlik ve Altyapı Güvenliği Ajansı Federal Sivil Yürütme Organı kurumları için bir acil durum talimatı yayınlamak.
- İvanti Mandiant’ta çalışıyor Bir ulus devlet tehdit aktörü tarafından 2.100’den fazla sistemin ele geçirilmesine yol açan tehdit faaliyetini azaltmak. Federal yetkililer, saldırıların 2023 ortalarında Çin Halk Cumhuriyeti’yle bağlantılı Volt Typhoon saldırılarıyla bazı benzerlikler taşıdığını söyledi.
Dalış Bilgisi:
Ivanti Connect Secure ve Ivanti Policy Secure kullanıcısı direniyorduk Güvenlik açıklarının yaygın şekilde kullanılması nedeniyle ilk yama için haftalarca beklemeye devam edildi. Bir araya getirildiğinde güvenlik açıkları şu şekilde listelenir: CVE-2023-46805 Ve CVE-2024-21887kimliği doğrulanmamış saldırganların uzaktan kod yürütmesine olanak tanır.
Ivanti daha önce ilk yamanın 22 Ocak haftasında hazır olacağını, son yamanın ise 19 Şubat haftasında planlanacağını söylemişti.
Geçen hafta itibariyle 26.000’den fazla Connect Secure ana bilgisayarı halka açık internete açıldı. Censys’in bir blog gönderisine göre. Censys’in bildirdiğine göre, kimlik bilgilerini çalmak için kullanılan bir arka kapı kullanılarak 410’dan fazla ana bilgisayarın güvenliği ihlal edildi.
Ivanti daha önce yöneticileri, cihaza yama uygulanana kadar yapılandırmayı XML içeren cihazlara aktarmamaları konusunda uyarmıştı. Yapılandırma başlatıldığında önemli web hizmetleri çalışmayı durdurdu ve azaltma çabaları artık düzgün şekilde çalışmadı.
CISA daha önce yaklaşık 15 federal kurumun Ivanti Connect Secure ve Ivanti Policy Secure kullandığını söylemişti.